Применение SFIA Framework для ИБ
При всем уважении к недавно рассмотренной NIST NICE, в ней не хватает одного важного элемента — шкалы квалификации. NIST про нее не забыл, но в настоящее время уровни квалификации к компонентам TKS не привязаны. Документ с несколькими вариантами шкал был направлен в Конгресс, который по итогам рассмотрения решил, что в NICE должна быть шкала по образу и подобию уровней ответственности SFIA (Skills Framework for the Information Age), которая, как и NICE является моделью компетенций.
Уровни ответственности в SFIA
SFIA не нуждается в особом представлении:
разрабатывалась с 1980-х гг. в Великобритании, официально появилась в 2000-м, в октябре этого года планируется 9-я версия
поддерживается энтузиастами из многих стран во главе с фондом SFIA
в ряде стран принята в качестве стандарта профессиональной квалификации для ИТ (например, в Австралии)
переведена на 13 языков, включая русский
бесплатна для некоммерческого использования.
Здесь о SFIA уже писали. Ей посвящены научные труды — вот наиболее фундаментальный от ВМК МГУ о применении в ИБ. Тем не менее, хочу представить вашему вниманию свой вариант перевода этой модели (в котором, надеюсь, немного сгладил шероховатости официального) и главное — недавно появилось сопоставление навыков и уровней SFIA с рабочими ролями ИБ в NICE.
Рабочие роли NICE сопоставлены с уровнями ответственности SFIA
Первое, что бросается в глаза в SFIA — 7 уровней ответственности, по которым можно оценить любого специалиста или руководителя. SFIA проецирует навыки и уровни ответственности на различные профессиональные области, связанные с ИТ, в частности есть следующие представления (views): Цифровая трансформация, Big Data и Data Science, DevOps, Agile, Корпоративные ИТ, Облачная архитектура, ИБ и кибербезопасность.
Представление SFIA для навыков ИБ
Определения каждого из уровней ёмко олицетворяют поведение, которое демонстрирует человек, чтобы считаться компетентным на этом уровне: следует, помогает, применяет, поддерживает, консультирует, вдохновляет, определяет стратегию. Огромным преимуществом SFIA являются сопоставления навыков с другими фреймворками и сводами знаний (например, NIST CSF, COBIT, ITIL и пр.).
В центре SFIA — опыт: человек обладает навыками или квалификацией на определенном уровне, потому что продемонстрировал их на данном уровне в реальной ситуации вместе с соответствующими личными качествами.
Контекст применения SFIA
Опыт указывает на способность применять знания и добиваться результатов на практике.
Описание навыков в SFIA на разных уровнях связано с опытом, продемонстрированным на этом уровне
Опыт измеряется не временем пребывания в должности, а по факту, например, методом STAR, т. к. его «период полураспада» (когда с внедрением автоматизации и ИИ половина ваших знаний в профессии перестают быть актуальными) неуклонно сокращается.
SFIA определяет профессиональные навыки в соответствии с уровнями ответственности. Это наиболее узнаваемый элемент SFIA. Они предоставляют информацию, необходимую для выявления, оценки, внедрения и развития профессиональных навыков.
Поведение как важнейший элемент способностей человека также входит в модель SFIA и может называться по-разному, например, поведенческие или социальные навыки, работоспособность или soft skills. В SFIA принят термин поведенческие факторы.
Знания являются основой для компетентности. В SFIA подчеркивается, что для эффективной демонстрации любого навыка необходимы знания. Чтобы быть компетентным и эффективным в любой роли, человеку потребуется сочетание общих, специальных и отраслевых знаний.
Знания могут признаваться официальными квалификациями или сертификатами, и все большее число университетских курсов, тренингов, мероприятий и других механизмов для получения знаний сопоставляются с навыками SFIA, обеспечивая их соответствие требуемым профессиональным навыкам. Такой подход повышает возможности трудоустройства получающих эти квалификации.
Каждый уровень ответственности характеризуется в разрезе набора из нескольких т. н. общих характеристик (атрибутов): самостоятельность, влияние, сложность решаемых задач, деловая хватка и знания.
Общие атрибуты SFIA
Обратите внимание, что общие атрибуты определены не для всех уровней, что логично, т. к. их состав с увеличением ответственности меняется.
По сравнению с другими моделями компетенций SFIA использует довольно гибкий и универсальный подход. Навыки не привязаны ни к отраслям, ни к технологиям и одинаково хорошо подходят как для небольших компаний, так и для крупных корпораций. Оценка уровня ответственности сотрудника обычно начинается с поведенческих факторов, и только потом переходят к профессиональным навыкам (hard skills), которых в 8-й версии SFIA уже более 120. Описание каждого навыка включает в себя его определение, методические рекомендации по его использованию в рабочих задачах, и описание индикаторов достижения этого уровня.
Пример описания навыка Цифровая криминалистика на 4-м уровне SFIA
В этих описаниях дается подробное определение того, что значит практиковать навык на каждом уровне. Не все навыки определены для всех семи уровней. Некоторые (например, тестирование, ИТ-инфраструктура и поддержка) есть только с первого по пятый, — это хорошие кандидаты для старта карьеры в ИБ. Другие (например, защита Пдн, киберриски), наоборот, стартуют с 3–5 уровня, что позволяет гибко планировать дальнейшую траекторию карьеры, увязывая личные интересы с планами и целями компании.
Talent Supply Chain в SFIA
Отправной точкой для использования SFIA может быть решение конкретной проблемы, например, повышения удовлетворенности сотрудников или развитие дефицитных навыков. Применение SFIA может быть распространено и на другие этапы по мере необходимости:
Разработка целевой операционной модели и организационной структуры ИБ. Стратегическое планирование персонала (7 «rights»: capability, size, location, time, cost, risk, shape). Создание должностных инструкций и ролевых профилей.
Подбор и наём с учётом нужных навыков.
Расстановка ресурсов в соответствии с навыками. Гибкое и динамическое определение рабочих ролей.
Инвентаризация навыков, прогнозирование потребностей в них.
Анализ эффективности работы (например, методом 360 градусов), выявление пробелов в навыках, потребностей в развитии смежных или переносимых навыков.
Планирование мер по развитию персонала для увеличения кадрового резерва и эффективности работы (7 ‚B«s: buy, build, borrow, bind, bounce, balance, bot), карьерные пути, возможности для роста (upskill, reskill, redeployment), правило 70:20:10, непрерывное обучение).
Вознаграждения и компенсации за освоенные навыки; повышение в должности (в связи с повышением профессиональной квалификации).
Работодатели, применяющие SFIA, в описании вакансий просто ссылаются на коды навыков, указывая их требуемые уровни. Учебные заведения в описании программы указывают «улучшение навыка X с уровня Y до уровня Z» (с подтверждением в виде свидетельства, подписанного независимой организацией). Так появляется возможность сравнивать между собой учебные программы ВУЗов — абитуриенты, кандидаты и работодатели могут точнее понимать сильные и слабые стороны и специализацию каждой учебной программы. «Оцифровывать» таким образом можно и резюме, цели и достигнутые результаты. Отсутствие единого языка приводит к тому, что приходится сравнивать кислое с мягким.
Напомню, модель компетенций нужна для того, чтобы оценить КТО у нас есть, и КТО нам нужен для достижения поставленных перед организацией целей. Для выравнивания приоритетов между личными целями сотрудников и целями организации часто используется матрица навыков.
Оценка по уровням ответственности и профессиональным навыкам SFIA
Это таблица, в столбцах которой — требуемые навыки (которые мы ранее определили по NICE, SFIA или другой модели), в строках — ФИО сотрудников (или наоборот). На пересечении может быть уровень владения навыком; либо достигнутый (в случае самооценки и подтверждения руководителем), либо запланированный (в случае составления индивидуального плана развития). Уровни могут кодироваться цифрами, цветами или определениями (младший, старший, ведущий, главный, и т.п.). Также на пересечении могут проставляться признаки интереса к изучению и готовности делиться опытом, что позволяет определить наиболее мотивированную аудиторию для обучения и наставничества, выделяя экспертов в предметной области.
Шаблон матрицы навыков
Помимо перечисленных функций матрица навыков — инструмент для стратегического планирования персонала:
оценки наиболее критичных и/или дефицитных навыков, на которых «держится» организация, обладателей которых надо постараться удержать;
выявления пула талантов, который может находиться не там, где они востребованы, и тогда им можно предложить перевод; или обладателей выходящего из употребления (из-за автоматизации или ИИ) навыка, которых выгоднее дообучить или предложить им пройти переподготовку по более востребованному навыку.
В заключении хочу привести несколько иллюстративных примеров составления ИБ-ролей из навыков SFIA:
Роли специалистов по реагированию на инциденты
Роли специалиста по киберзащите
Роли, отвечающие за руководство разработкой и реализацией стратегии в ИБ